| エンタープライズ:ニュース | 2002/11/14 22:26:00 更新 |
完全性チェック抜きのコンパイルは危険――tcpdumpなどにトロイの木馬の恐れ
CERT/CCは米国時間の11月13日、フリーのパケットキャプチャツール「tcpdump」と、パケットをキャプチャするためのライブラリである「libpcap」に、トロイの木馬が仕込まれている恐れがあると警告した。
CERT/CCは米国時間の11月13日、ネットワークの障害解析などに利用されているフリーのパケットキャプチャツール「tcpdump」と、パケットをキャプチャするためのライブラリである「libpcap」に、トロイの木馬が仕込まれている恐れがあることを警告した。
トロイの木馬が混入している恐れがあるのは、日本時間に直すと11月11日午前1時前後に「http://www.tcpdump.org/」よりダウンロードされたソースコードだ。配布元では11月13日よりトロイの木馬入りバージョンのダウンロードを停止しているが、ミラーサイトにはまだ残っている可能性もある。
11日前後にソースコードダウンロードを行っている場合は、MD5チェックサムを検証するべきだ。ファイルサイズや問題の報告者が、正しいソースコードとトロイの木馬入りソースコードのMD5チェックサムを公開している。CERT/CCでも同様に、MD5を用いて、そのソースコードが正当なものかどうかを確認するよう推奨している。
なお、もしこのトロイの木馬入りバージョンをダウンロードし、コンパイルしてしまうと、幾つかのステップを経て、外部ホストへの接続を試みようとする。この接続がユーザーにばれないようにする細工も施されており、最悪の場合、攻撃者がマシンにリモートからアクセスし、コンパイルを行ったユーザーの権限でプログラムなどを実行する可能性もある。
報告者も指摘しているが、この件は、7月末にOpenSSHにトロイの木馬が仕掛けられたケースを思い起こさせるものだ。10月にはSendmailでも、ソースコードにトロイの木馬が仕掛けられた可能性が警告されている。
問題のないtcpdumpとlibpcapはSourceForge.netよりダウンロード可能だ。だがかつてのように、提供者の善意を信じて、ダウンロードしたものをそのままコンパイルするといったやり方は、もう通用しなくなっているのかもしれない。今後、何らかのプログラムのソースコードやパッケージをダウンロードするときは、いかなる場合においてもMD5チェックサム、あるいはPGP署名などを用いて、それが正しいものかどうかを確認するべきだろう。
関連記事
Sendmailソースコードにトロイの木馬Tips for Linux:OpenSSHに仕掛けられたトロイの木馬を判別するには?関連リンク
CERT Advisory CA-2002-30 Trojan Horse tcpdump and libpcap DistributionsCERT Incident Note IN-2001-06 :Verification of Downloaded Software[ITmedia]
